Nhóm tin tặc này sử dụng mã độc Slingshot để lây nhiễm cho hàng trăm nghìn nạn nhân tại Trung Đông và châu Phi bằng cách khai thác một lỗ hổng trong các router từ nhà cung cấp phần cứng mạng Mikrotik (Lavia, Phần Lan), bước đầu là bí mật phát tán phần mềm gián điệp qua máy tính nạn nhân.
Khi router bị xâm chiếm, kẻ tấn công sẽ thay một file trong thư viện liên kết động (Dynamic Link Library - DDL) bằng một mã độc từ file trên hệ thống, tải trực tiếp vào bộ nhớ máy tính của nạn nhân khi người dùng chạy phần mềm Winbox Loader.
Winbox Loader là một công cụ quản lý hợp pháp do Mikrotik thiết kế cho người dùng Windows dễ dàng cấu hình các router của họ để tải các file DLL từ router và thực thi chúng trên hệ thống.
Bằng cách này, mã độc có trong file DLL sẽ chạy trên máy tính mục tiêu, kết nối đến một máy chủ từ xa để tải về payload.
Mã độc Slingshot bao gồm 2 môđun là: Cahnadr (chế độ nhân) và GollumApp (chế độ người dùng), được thiết kế để thu thập, lưu thông tin và lọc dữ liệu.
Cahnadr hay aka NDriver phụ trách chống sửa lỗi (debug), ẩn giấu mã độc và chức năng phòng chống các kiểu tấn công (sniffing), lây nhiễm các môđun khác, giao tiếp mạng được yêu cầu theo chế độ người dùng.
Trong khi đó, GollumApp là môđun có chức năng thực hiện hành vi gián điệp trong phạm vi rộng, cho phép kẻ tấn công chụp ảnh màn hình, thu thập các thông tin liên quan trong mạng, mật khẩu được lưu trữ trên trình duyệt web, duy trì giao tiếp với các máy chủ C&C từ xa.
Khi GollumApp chạy chế độ nhân và có thể chạy các tiến trình mới với đặc quyền SYSTEM, mã độc sẽ trao toàn quyền kiểm soát của hệ thống bị lây nhiễm cho tin tặc.
Mặc dù các nhà nghiên cứu Kaspersky không cho biết nguồn gốc nhóm tin tặc này nhưng dựa trên các kỹ thuật thông minh mà họ sử dụng và các mục tiêu thì công ty an ninh đã kết luận rằng, đây chắc chắn là tin tặc do nhà nước bảo trợ, nói tiếng Anh có kỹ năng cao.
Nạn nhân phần lớn là các cá nhân và tổ chức chính phủ của nhiều quốc gia khác nhau như: Kenya, Yemen, Libya, Afghanistan, Iraq, Tanzania, Jordan, Mauritius, Somalia, Cộng hoà Congo, Thổ Nhĩ Kỹ, Sudan và các Tiểu vương quốc ả Rập thống nhất (United Arab Emirates – UAE).
Hồng Loan
Theo The Hacker News
13:00 | 28/06/2018
13:00 | 14/12/2020
14:00 | 28/03/2022
02:00 | 30/10/2019
09:00 | 28/04/2024
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
08:00 | 11/01/2024
Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.
16:00 | 18/12/2023
Các nhà nghiên cứu từ công ty bảo mật chuỗi cung ứng Binarly cho biết lỗ hổng firmware có tên gọi là LogoFAIL có thể ảnh hưởng đến 95% máy tính, cho phép tin tặc vượt qua cơ chế bảo vệ Secure Boot và thực thi phần mềm độc hại trong quá trình khởi động. Các lỗ hổng xuất phát từ trình phân tích cú pháp hình ảnh được sử dụng trong firmware hệ thống UEFI để tải hình ảnh logo trên màn hình khởi động.
08:00 | 04/12/2023
Microsoft cho biết tin tặc Triều Tiên đã xâm nhập vào một công ty phần mềm Đài Loan và lợi dụng hệ thống của công ty này để phát tán phần mềm độc hại đến các thiết bị ở Mỹ, Canada, Nhật Bản và Đài Loan trong một cuộc tấn công vào chuỗi cung ứng.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024